La Regione Lazio ha “spiato” i suoi dipendenti e per questo il Garante della privacy le ha comminato una multa di 100mila euro. Questo è quanto riportato nell’Ordinanza di ingiunzione nei confronti di Regione Lazio – 1 dicembre 2022.
I FATTI: LA SEGNALAZIONE DEL SINDACATO FEDIRETS
Il caso nasce dalla segnalazione del sindacato autonomo Fedirets (Federazione Dirigenti e Direttivi Enti Territoriali e Sanità) ha rilevato che la Regione Lazio avrebbe effettuato “un controllo sulle email dei legali dell’Amministrazione regionale chiedendo al responsabile delle reti informatiche della Regione […] una verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale, attribuite agli avvocati dell’avvocatura regionale”. La Regione avrebbe analizzato diverse informazioni quali “mittente, oggetto e destinatario delle mail inviate, oltre che ricognizione e pesatura di eventuali allegati alle mail stesse” nelle caselle di posta elettronica di “tutti gli Avvocati dell’Amministrazione regionale”, senza che sussistessero “ragioni oggettive per l’effettuazione di un tale massivo ed indiscriminato controllo”.
IL CONTROLLO DELLA CORRISPONDENZA DECISO DAL SEGRETARIO GENERALE
Il responsabile del controllo delle mail in questione sarebbe stato il datore di lavoro, cioè il Direttore della Direzione regionale “Organizzazione e Personale”. A richiederlo, in via informale, sarebbe stato il Segretario Generale, senza alcun “Atto [o] Provvedimento Amministrativo, che abbia autorizzato” il controllo e in mancanza di “procedure regolamentari e di policy sull’uso della posta elettronica e della Rete”. Inoltre non era stata fornita ai lavoratori alcuna informativa in relazione alla possibilità effettuare controlli sulla posta elettronica.
LAZIO CREA RESPONSABILE MATERIALE DELLA VIOLAZIONE DELLA PRIVACY
Il controllo non è stato effettuato dalla Regione ma da Lazio Crea, la società in house dell’Amministrazione regionale. A Lazio Crea sono affidate le attività di “progettazione, realizzazione e gestione della strategia regionale di Agenda Digitale, incluso il Sistema Informativo Regionale”. Il Garante della Privacy, nella sua ordinanza, sottolinea che nelle istruzioni inoltrate dalla Regione Lazio alla società era specificato in caso di necessità di trattamenti su dati personali “diversi ed eccezionali rispetto a quelli normalmente eseguiti” Lazio Crea avrebbe dovuto informare il “Titolare del trattamento ed il Data Protection Officer (DPO) della Regione Lazio”. Tra le altre cose Lazio Crea ha conservato i dati raccolti per 180 giorni, come da prassi, prima cancellare tutto definitivamente.
LA LINEA DIFENSIVA DELLA REGIONE LAZIO SULLA VIOLAZIONE DELLA PRIVACY
La Regione Lazio ha attuato una linea difensiva nell’ambito della quale ha evidenziato la liceità del controllo in quanto “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. L’Amministrazione regionale ha effettuato un accertamento ex post “in presenza di ragionevoli sospetti di comportamenti illeciti da parte di alcuni avvocati dell’avvocatura regionale, consistenti nella rivelazione a terzi di notizie d’ufficio sottoposte al vincolo di segretezza”.
I DATI DEI DIPENDENTI DELLA REGIONE LAZIO CONSERVATI PER 180 GIORNI
Il Garante ha accertato, però, che la Regione ha potuto effettuare il monitoraggio del personale dell’avvocatura, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza.
LA CORRISPONDENZA È PROTETTA DALLA COSTITUZIONE
L’articolo 15 della nostra Costituzione afferma che “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili”. A partire dal dettato normativo costituzionale il Garante per la protezione dei dati personali ha chiarito che “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica” non sono strumentali allo “svolgimento della prestazione” del dipendente. In caso vi sia la necessità di accedere alle informazioni che transitano via mail “il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge”. Inoltre il trattamento di dati personali ha permesso al datore di lavoro di entrare in possesso di “informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa”.
ALLA REGIONE LAZIO 100MILA EURO DI AMMENDA PER VIOLAZIONE DELLA PRIVACY
Il Garante ha così stabilito di sanzionare la Regione con un’ammenda da 100.000 euro. Ha, inoltre, vietato alla Regione Lazio “ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori” e stabilito che i dati raccolti illecitamente debbano essere cancellati.
Articoli correlati
Ok di Francia e Germania alla prima fase del carro armato del futuro (Mgcs)
Sanchez in Spagna abbraccia Telefonica per arginare i sauditi
Ecco come Bruxelles accerchia la cinese Shein
Saras da Moratti a Vitol? Il governo dice ok
